做日志服务器

         日志对于安全来说，非常重要，它记录了系统每天发生的各种各样的事情，你可以通过他来检查错误发生的原因，或者受到攻击时攻击者留下的痕迹。日志主要的功能有：审计和监测。他还可以实时的监测系统状态，监测和追踪侵入者等等。

做一个日志服务器

/var/log         默认的日志文件

/var/log/dmesg   内核引导信息

/var/log/messages默认系统错误信息日志

/var/log/maillog 邮件系统相关日志

/var/log/secure  安全认证及xinetd（超级守护进程）相关日志

当前主机产生的日志，不在本主机记录，而是记录在另一台主机上，这个专门记录日志的主机就是日志服务器，需要做的配置很简单

服务器端：

1.vim /etc/sysconfig/syslog

2.在其中找到SYSLOGD_OPTIONS="-m o"改成SYSLOGD_OPTIONS="-m o -r"，就可以允许其它主机写日志进来，然后保存退出

3.重启syslog服务 service syslog restart

在本主机上：（）

1.vim  /etc/syslog.conf

2.把*.info;mail.none;authpriv.none;crom.none   /var/log/messages

改成*.info;mail.none;authpriv.none;crom.none   @192.168.0.156

注：192.168.0.156是服务器的IP地址

3.重启一下服务

测试

我在本机输入了

 1. su  -  redhat 

 2. exit   

 3. su  - student   

 4. exit

4个命令，在配置的日志服务器端收到了以下信息

客户端执行的命令

服务器收到的